Материалы курса В. И. Королёва / Система НСД / 5 Системная организация защиты информации от НСД
.doc
Системная организация защиты информации от НСД
Операционная среда обладает избыточными по отношению к потребностям конкретной АС или в отношении решения конкретной функциональной задачи АС возможностями по обработке и транспортировке информации. Это порождает со стороны пользователей системы и других активных элементов операционной среды дополнительные возможности несанкционированного доступа к информационным объектам, требующим защиты от НСД.
Рассмотрение отношений доступа на функциональном уровне позволяет сделать важные выводы по характеру ограничений, которые необходимо ввести в операционную среду, чтобы выполнить требования по разграничению доступа и обеспечить отношения доступа, нормативно определённые на макроуровне. Фактически эти ограничения определяют системные базовые функции защиты информации от НСД, которые необходимо уметь выполнять в АС при определённом развитии процесса обработки и передачи информации.
Базовые функции:
|
Изоляция, как правило, обеспечивается на этапе проектирования АС в виде технических проектных реализаций, которые рассчитаны на время жизненного цикла системы или до принятия отдельного решения по их изменению. К таким техническим реализациям можно отнести исключение из программно-технической среды программных компонентов и устройств, не требующихся для решения функциональных задач данной АС, особенно если программные компоненты не являются доверенным программным обеспечением, а технические устройства не прошли специальную проверку на скрытые закладки. Возможно выделение устройств только для работы с защищаемой информацией, например, принтеров, логическая и физическая их изоляция от остальных интерфейсных устройств. Часто при практической реализации функции изоляции прибегают к созданию в одной программно-технической среде для различных пользователей виртуальных персональных процессоров, которые для них являются локальными компьютерами.
Аутентификация выполняется, как правило, в отношении субъектов-лиц, взаимодействующих с системой, а далее её результаты наследуются другими активными элементами операционной среды, которые наделяются правами и полномочиями этих субъектов. То есть результаты аутентификации используются при выполнении функций контроля доступа и действий. Безусловно, предваряющей процедурой фактической аутентификации является идентификация субъекта, то есть определение его уникального имени-обозначения (логина).
Контроль доступа и контроль действий интегрируются в функцию контроля и разграничения доступа к информационным и техническим ресурсам АС, а все объекты доступа, в данном случае, отождествляются с понятием - объекты разграничения доступа (ОРД). Фактически, контролируя доступ и действия, соответствующие средства защиты обеспечивают авторизацию субъекта, позволяя ему работать в рамках наделённых прав доступа и полномочий на действия.
Все перечисленные функции реализуются средствами программно-технической среды и являются частью процессов обработки и передачи данных. В силу этого, они:
во-первых, обеспечивают управление процессами в части защиты информации от НСД;
во-вторых, могут выполнять целевую установку только предупреждения (профилактики) нарушений НСД, так как, являясь программными и аппаратными средствами, сами требуют контроля выполнения своих функций со стороны администратора безопасности.
В конечном счёте, только ответственное выделенное лицо или служба обеспечивает гарантированное предотвращение нарушений путём организационного (административного) управления. С этой целью в системе защиты от НСД выделяется группа функций обратной связи, реализация которых формирует данные (информацию) о состоянии информационной безопасности, на основании которых собственно и обеспечивается предотвращение нарушений НСД. |
Функции обратной связи:
|
Эта группа функций в совокупности осуществляет управление состоянием безопасности АС в части противодействия НСД к информации.
Названные базовые функции и функции обратной связи (иначе, функции назначения по защите АС от НСД к информации) составляют функциональную часть систем защиты информации от НСД.
Средства реализации функций назначения (программные, аппаратные, программно-технические) реализуют алгоритмы или механизмы аутентификации или разграничения доступа, аудита, управления и требуют:
во-первых, настройки на определённый организационно-нормативный или технологический регламент работы,
во-вторых, создания в АС и на объекте информатизации условий штатного функционирования,
в-третьих, поддержки их в работоспособном состоянии, то есть организации эксплуатации.
Всё это осуществляется за счёт – реализации обеспечивающих функций по организационно-нормативной поддержке функционирования средств защиты и их эксплуатации.
Организационно-нормативная поддержка:
|
Эксплуатация средств защиты:
|
Основными базовыми функциями назначения по защите АС от НСД к информации СЗИ являются аутентификация и разграничение доступа.
Структурно-функциональная схема системы защиты от НСД в АС